系统视角下的网络安全

■ 北京微电子技术研究所 陆铁军 李原

编者按： 本文首先从网络在系统中的位置和作用开始分析，然后对网络安全问题进行分析，并提出解决网络安全的方案，该方案在单片机的IPv4协议上进行了验证。

随着互联网络的普及，信息化在当前社会发挥着重要助推器的作用。为了避免网络攻击和泄密，单位不得不将自己的网络与互联网实行物理隔离，但断开的局域网络并不能回避网络安全的影响。

本文将从系统的角度来分析网络安全的一些问题，并提出一个适应网络安全的解决方案。

网络在系统中的位置与作用

网络是连接各信息系统的连接设备，由于两个信息系统之间可能存在多个路由器，并且路由器不在自己的管控范围，所以进入网络的信息不受控，进入网络的信息也应该被认定为进入了不安全区域。

网络对于一个信息系统来说，就是一个进行信息交换的外围设备。在系统硬件结构中，由网络接口的收发器通过电缆与外部网络相连，而内部与系统总线相连，在统一编址的体制中，网络接口设备与内存统一编址，以便主机系统对资源统一管理和操作。在系统软件的结构中，外围设备通过驱动程序来驱动。网络接口属于通用设备，其接口定义是公开的。当网络接口上连接了网络设备以后，驱动程序将依据接口的特性自动配置。

网络的使用实际上是应用程序调用系统接口函数，驱动程序实现通信协议并完成网络通信。只要应用程序提供了符合IP标准的目的地址，驱动程序就能将数据信息通过网络发送出去。当然，接收到了外部网络数据以后，它也会一层一层地解析最后提交给目的进程。

通过上述过程可以发现，应用程序只要能够调用网络通信的系统接口，就能与外部网络进行联络，系统内部如果存在某个进程可以接收指定IP地址的数据报，那么，外部发送过来的数据报就能收到。这样一个机制使得任何计算机之间只要安装了网络驱动程序，就能快捷方便地进行信息交换。

网络安全问题分析

网络传输的报文可以分为两类：一类是网络报文，另一类是数据报文。网络报文是终端与交换机/路由器之间的报文(包括邻居确认)，用于网络的连接。数据报文是终端与终端之间的报文，用于终端之间的数据交换。网络报文是网络攻击的主要源头，数据报文是泄密的主要源头，有些数据报文也具有攻击性。网络安全问题可以归纳为三种：泄密、病毒传染和网络攻击。

网络泄密包括三种情形：主机自行向外特定目的地址发送数据报文；用户向外发送了数据报文但由于重定向发送到了其他目的地；用户发送的数据报文被第三方窥探截获解读。

网络病毒传染，即终端向本地网络的所有终端发送属于病毒的报文，终端接收报文以后以可执行文件或其他形式驻留在主机系统，终端主机由此运行效率降低或瘫痪。

网络攻击是通过发送特定的报文使得网络集中向特定终端发送大量的报文，接收终端主机资源被网络处理大量占用消耗，即网络泛洪攻击，或者使得终端网络环境发生非正常改变，比如报文发往非用户指定目的地形成泄密或形成拒绝服务。

泄密的主要原因又可归纳为本地计算机与远程计算机的通信授权被窃取、网络攻击使其改变路径、密钥管理和密码算法使得数据报文易于破解。

在计算机系统中，管理员权限是最大的。系统管理员可以开启和关闭任何输入输出接口通道。当系统管理员退出或进入用户模式以后，操作系统的程序和以系统管理员身份运行的程序拥有最高权限。对于由操作系统启动的非管理程序，是用户应用程序提交的，但是大多数应用程序并非是用户自己编写的，所以，大多数用户对所运行的程序不是完全了解，这些程序中就可能包括网络通信病毒子程序，并且驻留在主机系统中。唯一有效杜绝非法外传的办法是隔离。

合法发送的数据报文被截获和解读与网络传输和网络协议相关。网络传输是通过交换机/路由器进行的，当网络传输路径由于路由器欺骗而重定向或路由器不受控时，就会被轻易截获。

另外，在有了IPsec以后网络是否就安全了？答案是不一定。原因是支持IPsec的密钥安全这个前提是否满足。当前系统环境很难保证密钥的安全。如果密钥泄露，最复杂的密码算法和认证也不能发挥作用的。

另外一个重要的安全问题是：如果一个安全设备被破解，是否导致整个安全体系被攻破或是产生一个安全漏洞。随着技术的进步,设备和芯片被破解并不是一件难事，所以，安全机制必须保证安全设备不可复制，同时，发现失控可以立即被禁用。

网络病毒传染产生的原因也是与通信授权相关，不同的是传输的对象不同，网络病毒传输的对象是病毒代码。网络病毒传染的速度非常快。如果说泄密的危害是单个计算机系统的数据安全问题，而网络病毒传染的危害是所有被感染的计算机运行安全问题。与网络相关的运行安全问题不能再继续使用隔离的办法了，再隔离就没有局域网了，安全问题可能会更加严峻。

网络攻击是主机程序发送的一些非正常的恶意报文，使得网络进入非常规的工作状态，或者重定向（泄密或拒绝服务），或者内存消耗殆尽（网络协议无法执行），或者堵塞网络（拒绝服务）。之所以会存在是由于网络协议提供的灵活性被恶意使用。比如IP地址可以伪造、链路地址可以伪造、出错报文也可以伪造，广播或组播几乎没有限制，在没有身份识别的情况下，这些伪造的信息足以使得终端和路由器/交换机不知真伪，伪造的结果是正常的报文路径发生改变、不应出现的网络报文在网络上剧增和聚集。对于正常的同步报文和分片报文等，如果没有限制的大量使用也将使得有限的内存无法满足应用的需求。

网络安全对策

面对当前严峻的信息安全形势，CPU芯片和操作系统无疑是走向信息安全的一个关键环节。但是，由于CPU处理器和操作系统的复杂度越来越高，更新换代越来越快，设计漏洞是不可避免。另外，各种应用软件也是越来越多和越来越复杂，我们不可能完全拒绝这些软件的安装和运行。这些都是导致网络安全的来源。

当前针对网络安全问题的主要解决方案是使用入侵检测系统、防火墙和堡垒主机等。其特点是采用排除法，通用性较强；但无法排除未知病毒或攻击。因此，网络安全处理措施必须彻底放弃这种处理方法。

解决方案

1.将终端的网络通信控制权限从主机环境转移出来完全由网络管理员独立控制。方法是对与网络相关的网络接口芯片进行增强，使增强的网络接口芯片成为具有独立性的网络安全芯片。

2.网络安全芯片不仅具有独立自主的控制能力，同时具有实时管控主机系统与外部网络连接的能力，具有收发双方身份设置与确认的接入机制。

3.该网络安全芯片专注于网络报文的处理，特别是攻击报文的处理，极大地释放主机用于处理网络事务的计算资源，确保在网络攻击时的主机系统正常运行。

4.该芯片具有唯一的身份识别码，拥有独立的密钥不可复制的管理机制和安全的动态关联信息，是身份认证和加解密的有力保障；用户层无需考虑身份认证和加密解密，网络安全芯片自动添加身份信息并进行身份认证和接入控制，通过帧的动态重构与实时密钥和一帧一密的密码机制，提高报文的抗暴力破解强度。

5.面对网络攻击，IPv6协议和IPv4的在网络层通过身份认证来快速处理外部攻击报文，面对内部的网络攻击，首先在发送端进行检控，然后在接收端也进行限制和检查，以防止内部产生的泛洪攻击。

6.如果在接入层的交换机中设置非路由器端口与路由器端口控制，则可以进一步简化路由器欺骗与攻击的处理。

与传统的查找病毒特征不同，它只选择合法用户进行身份认证，在认证过程中，不采用固定序列码的方式，而是采用动态关联信息进行认证，这样不仅降低了计算量，使得在接口芯片上实现成为可能，而且使得身份认证更加安全可靠。

结语

本文通过对网络设备的使用分析，研究了与网络安全相关的特性，提出一个独立于主机的动态重构解决方案，将网络安全管理独立于主机系统，不仅可以解决主机被控制的非法对外传送，还可解决系统管理员未经授权的对外数据信息传送；利用微电子技术，将普通的网络接口芯片提升为网络安全芯片，不仅释放了主机系统面对网络攻击的网络处理能力，同时集成了密钥的管理功能，使得网络协议的实现更加完善。本方案已通过单片机原型机系统在IPv4上进行了验证。